در این بخش توضیح میدهیم که EDR چیست و چگونگی عملکرد نرم افزار EDR در بستر شبکه را بررسی میکنیم:
در فوریه 2014، موسسه ملی استاندارد و فناوری وزارت بازرگانی (NIST) چارچوبی را برای بهبود امنیت سایبری زیرساختهای حیاتی ایجاد کرد.
این چارچوب برای کمک به سازمانها در برنامهریزی و رفع تهدیدهای امنیت سایبری طراحی شده است.
توابع اصلی امنیت سایبری توضیح میدهد که چگونه Endpoint Detection & Response (EDR) میتواند به سازمان شما در زمینه آمادگی، شناسایی و پاسخگویی به امنیت سایبری کمک کند.
EDR چیست؟
EDR چیست؟ تشخیص و پاسخ به نقاط پایانی (EDR) یک رویکرد تخصصی در امنیت سایبری است که بر نظارت و تجزیه و تحلیل مداوم فعالیتهای نقاط پایانی برای کاهش تهدیدات نوظهور تمرکز دارد.
این رویکرد، امکان مشاهدهی بلادرنگ عوامل بالقوه را فراهم میکند و شبکهها و دستگاههای نقاط پایانی مانند دسکتاپها، دستگاههای اینترنت اشیا، لپتاپها، تلفنهای همراه و موارد دیگر را اسکن میکند.
تشخیص و پاسخ به نقاط پایانی (EDR) میتواند کل چرخهی حیات تهدید را بررسی کند و بینشهایی در مورد محل، ماهیت و چگونگی وقوع آن، از جمله گامهایی که برای رفع تهدیدات باید برداشته شود، ارائه دهد.
اجزای کلیدی امنیت EDR چیست؟
راهکارهای EDR بومی ابری و امنیت سایبری میتوانند بطور مداوم فعالیتهای نقاط پایانی را بصورت بلادرنگ رصد کنند. آنها قابلیت مشاهده کاملی را در تمام نقاط پایانی در شبکههای سازمانی فراهم میکنند.
در اینجا اجزای کلیدی امنیت EDR آمده است:
- طبق تعریف، EDR، اجزای دادهها را جمعآوری میکند. نرمافزار EDR با عاملهایی ارائه میشود و جزئیات مربوط به فرآیندهای امنیتی، اتصالات و فعالیتهای کاربر را جمعآوری میکند.
- نرمافزار EDR همچنین دارای یک جزء تجزیه و تحلیل و جرمشناسی بلادرنگ است. این جزء دادههای تلهمتری را از حجم کار جمعآوری میکند، حملات را تجزیه و تحلیل میکند و تهدیدات را بررسی میکند.
- هوش تهدید و شکار تهدیدات، اجزای کلیدی تشخیص و پاسخ به تهدیدات نقاط پایانی در راهحلهای قابل اعتماد هستند. آنها میتوانند جزئیات حیاتی در مورد حوادث امنیتی ارائه دهند.
- سایر اجزای محصولات EDR عبارتند از: تجزیه و تحلیل رفتار کاربردی، پایگاههای داده تهدید، الگوریتمهای یادگیری عمیق، خدمات امنیتی مدیریتشده، پاسخ به حوادث و بهبود انطباق و گزارشدهی. ابزارهای EDR دارای ادغامهایی هستند که بطور یکپارچه با زیرساختهای امنیتی چند لایه ترکیب میشوند.
مولفههای اصلی امنیت سایبری در Symantec EDR
Identify
با کمک نرم افزار امنیت سیمانتک EDR ارزیابی سازمان خود را برای شناسایی خطرات احتمالی و اهداف امنیتی انجام دهید. استراتژی مدیریت ریسک را بر اساس نیازهای تجاری خود تدوین کنید.
Protect
نقطه کنترل شبکه Symantec EDR جریان دادههای ورودی را هنگام حرکت از طریق شبکه تجزیه و تحلیل میکند که از این اطلاعات برای ایجاد رویدادها و ایجاد حوادث برای کمک به شما در یافتن تهدیدات احتمالی در محیط استفاده میکند.
وقتی این نرم افزار را پیکربندی میکنید، دسترسی به فایلها و رایانههای خارجی را که تشخیص میدهد مخرب است، مسدود میکند.
از طریق پالیسیهای لیست سیاه و سفید میتوانید فایلها و وبسایتهایی که Symantec EDR مسدود میکند یا نه، را بیشتر کنترل کنید.
Detect
وقتی نقطه کنترل شبکه Symantec EDR را با SEP و Email Security.cloud ادغام میکنید، سرویس ابری Synapse میتواند وقایع مربوط به هر محصول را با هم مرتبط کند و به شما یک تصویر جامع از تهدیدات شبکه، نقاط انتهایی و سیستم ایمیل شما بدهد.
Symantec Endpoint Detection and Response (EDR) تهدیدهایی را نشان میدهد که در داشبورد و در Incident Manager شناسایی میکند.
همچنین میتوانید تمام وقایعی را که بطور مزمن در سازمان شما اتفاق افتاده مشاهده کنید.
از این راهحل برای جستجوی شاخصهای سازش (IOC) و یافتن مصنوعات استفاده کنید که میتواند این موارد را در دیتابیس سولوشن امنیت اندپوینت Symantec Detection and Response و در نقاط پایانی شما جستجو کند.
اگر ضبط کننده فعالیت نقطه پایانی را فعال کنید، میتواند در ضبط کننده فعالیت نقطه پایانی نیز جستجو کند.
همچنین این راهکار میتواند هنگام ایجاد حوادث، بطور خودکار اعلانها را برای شما ارسال کند. همچنین میتواند رویدادها را به syslog وارد کند تا بتوانید آنها را در سیستم اطلاعات امنیتی و مدیریت رویدادها (SIEM) خود وارد کنید.
Response
قابلیت مهار و اصلاح یک کلیک را فراهم میکند که در نقاط کنترل، شبکه و ایمیل کار میکند. بعنوان مثال، میتوانید یک فایل مخرب را از یک نقطه انتهایی حذف کنید یا یک نقطه پایان شکسته را جدا کنید.
Recover
پس از مهار تهدید، برای تجزیه و تحلیل چگونگی وقوع تخلف و جلوگیری از نقض مشابه در آینده، این روشها را دنبال کنید.
همچنین میتوانید گزارشهایی را اجرا کنید که برای تجزیه و تحلیل تعداد و انواع حملاتی که در محیط شما رخ داده مفید است.
نرم افزار EDR چگونه کار میکند؟
راهکار Symantec Endpoint Detection & Response (EDR) برای تشخیص حملات هدفمند مانند تشخیص نقض، کنترل سیستم، حرکت بعدی و کنترل کردن PowerShell، از تشخیص پیشرفته حمله در نقطه انتهایی و تجزیه و تحلیل مبتنی بر ابر استفاده میکند.
نرم افزار Symantec EDR با اولویتبندی حوادث ناشی از خطر، بهرهوری محقق را افزایش میدهد.
وظایف اصلی سیستم امنیتی EDR عبارتند از: نظارت و جمع آوری دادههای فعالیت از نقاط انتهایی که میتوانند تهدید را نشان دهند.
برای شناسایی الگوهای تهدید، این دادهها را تجزیه و تحلیل کنید. بطور خودکار به تهدیدهای شناسایی شده برای حذف یا مهار آنها پاسخ دهید و به پرسنل امنیتی اطلاع دهید.
ابزارهای تشخیص و پاسخ نقطه پایانی با نظارت بر رویدادهای نقطه پایانی و شبکه و ضبط اطلاعات در یک پایگاه داده مرکزی که در آن تجزیه و تحلیل، شناسایی، تحقیق، گزارش و هشدار بیشتر انجام میشود.
در مجموع نرم افزار Symantec Endpoint Detection and Response بصورت زیر، تهدیدات را شناسایی نموده و پاسخ میدهد:
- به کمک sandboxing پیشرفته، لیست سیاه و قرنطینه کردن، حوادث مشکوک را مورد تحقیق و کنترل قرار دهید.
- با ثبت مداوم فعالیت و بازیابی تخلیههای فرآیند نقطه پایانی، به تاریخ حمله دسترسی پیدا کنید.
- در حین تحقیق با جداسازی نقطه پایانی، نقاط نهایی بالقوه خطرناک را مهر و موم کنید.
- پروندههای مخرب و مصنوعات مرتبط را در همه نقاط انتهایی تحت تأثیر، حذف کرده و نقطه پایان را به حالت قبل از آلودگی باز میگرداند.
سوالات متداول
1- در امنیت سایبری، EDR چیست؟
EDR مخفف Endpoint Detection and Response است که با هدف نظارت بر فعالیتهای اندپوینت، تشخیص رفتارهای مشکوک و پاسخ بلادرنگ به تهدیدات را فراهم میکند.
2- امنیت EDR چگونه میتواند کمک کند؟
EDR با قابلیت مشاهده فعالیتهای اندپوینت، امکان تشخیص سریع تهدیدات و کمک به اجرای اقدامات مؤثر در پاسخ به خطرات را فراهم میکند.
3- تأثیر EDR بر پاسخ به حوادث چیست؟
EDR با ارائه دادههای بلادرنگ و قابلیتهای پاسخ خودکار، زمان پاسخ به حوادث را بطور قابل توجهی افزایش میدهد و به تیمهای امنیتی اجازه میدهد تا به سرعت تهدیدات را مهار کنند.
4- راهکار EDR چگونه تهدیدات را شناسایی و به آنها پاسخ میدهد؟
EDR از آنالیز رفتاری، هوش تهدید و الگوریتمهای یادگیری ماشین برای شناسایی ناهنجاریهای فعالیت اندپوینت و پاسخ خودکار به تهدیدات شناسایی شده استفاده میکند.
شرکت داده پایش کارن، ارائه دهنده محصولات امنیت شبکه و اطلاعات سیمانتک، آمادگی ارائه خدمات و لایسنس نرم افزار Symantec EDR را دارا میباشد.
